Columns: – Page 96 – Karin Spaink

Drop voor de douane

Een paar jaar geleden werd ik tijdens een overstap op een Frans vliegveld door de douane uit de rij gevist. Het kwam belazerd uit: mijn eerste vlucht was met vertraging aangekomen en de afstand tussen de gate van aankomst en die van vertrek was van dien aard dat ik inmiddels op het punt stond mijn aansluiting te missen. En waarom zou de douane in een tussenliggend land me überhaupt moeten controleren? Ik kwam niet uit Frankrijk vandaan en ging niet naar Frankrijk toe. Maar mee moest ik, een provisorisch kamertje in.

Een douanemevrouw beklopte mijn jaszakken achterdochtig en voelde iets. Ze viste het voorwerp eruit, wierp er een snelle blik op en snauwde me toe: ‘C’est interdit, dat mag je niet meenemen!’ Ze hield de boosdoener triomfantelijk voor me op. Ik was zo perplex dat ik haar uitlachte, heel ondiplomatiek maar ik kon haar niet serieus nemen. ‘Doe niet zo mal, dat mag best. Het is een rol drop. Snoep.’

Gelukkig nam ze geen wraak op me voor haar fout en haalde ik mijn aansluitende vlucht nog net. De botte gedecideerdheid, het air waarmee ze een categorische uitspraak deed over iets dat ze niet herkende, staat evenzeer in mijn herinnering gegrift als haar vooringenomen willekeur. Ze wilde iets vinden. Ze moest iemand hebben. Het gaf niet wie, noch waarom. Wat een naar trekje is voor iemand die macht over je heeft, hoe kortstondig die macht ook moge zijn.

Afgelopen week werd bekend dat de Amerikaanse douane de vrije hand heeft gekregen om laptops, mobiele telefoons, mp3-spelers, digitale camera’s, usb-sticks en wat dies meer zij van reizigers te doorzoeken, in beslag te nemen en te kopiëren. Er hoeft daarvoor, zo staat nadrukkelijk in het document, geen enkele vorm van verdenking op iemand te rusten. Willekeurig wie mag eraan worden onderworpen. Het argument waarom een willekeurige douanebeambte al je e-mail mag kopiëren, al je foto’s kan bekijken of je computer zonder tekst of uitleg voor onbepaalde tijd kan confisqueren?

Het eerste motief: terrorismebestrijding. De term begint bijna flauw te worden, de magie van het argument raakt uitgewerkt. Terrorismebestrijding. Tjee. Gaap. Alweer? Mocht de overheid nog niet genoeg? Is het met de terreur sinds 9-11 werkelijk zo uit de hand gelopen dat er elk halfjaar nieuwe, nog draconischer wetten moeten worden uitgevaardigd, en zijn alle reizigers verdacht geworden? Kunnen we maar niet beter helemaal ophouden met reizen? Is ook beter voor het mileu, trouwens.

Het tweede motief: het tegengaan van auteursrechtschending. Duh. Hoe bewijs je in hemelsnaam dat je de rechtmatige eigenaar bent van je digitale bestanden? Moet je voortaan op reis naar de VS een map meenemen met de aankoopbewijzen van al je ringtones en de originelen van je cd’s als je je laptop of mobieltje niet wilt kwijtraken? En staat de ingreep – je onmisbare gereedschap geruime tijd kwijt, al je privécorrespondentie bezoedeld door andermans ogen – in verhouding met de verdenking dat je ergens misschien een illegaal bestand hebt?

Inmiddels heb ik al van verschillende mensen die voor hun werk naar Amerika moeten reizen, gehoord dat ze een goedkope laptop willen aanschaffen. Een weggooimodel, voor het geval dat. Want met pech tref je een grenscontroleur die een stok zoekt om een reiziger te slaan en die ineens beweert dat drop verboden is. Ondiplomatiek uitlachen helpt dan niet meer.

Links:

U.S. Government Policy for Seizing Laptops at Borders, Bruce Schneier, 1 augustus 2008
Border Laptop Searches? No Reason Needed, Wired, 1 augustus 2008
Douane Schiphol doorzoekt mobiele telefoons en laptops, Tweakers, 24 april 2008
Schiphol scherper op kinderporno, Nederlands Dagblad, 1 augusus 2008

Datalekkerij

In de Britse pers is het bijna een hobby geworden: rapporteren over ontsnapte persoonlijke gegevens. Toen een handvol ambtenaren kort na elkaar cd’s kwijtraakten met daarop de gegevens van miljoenen burgers, compleet met hun adres, geboortedatum, gezinssamenstelling, bankrekening en soms zelfs hun saldo, is de pers daar buitengewoon alert geworden op het probleem en nu verschijnt er bijna elke week wel een artikel over interne documenten die open en bloot op websites staan, wagenwijde lekken in software en verloren of verkeerd bezorgde cd’s met persoonsgegevens.

Ook de houding van het publiek is veranderd. De Britten dachten aanvankelijk, net als Nederlandse burgers. ‘ach nou ja, stom van ze, maar wat kun je daar nu helemaal mee’. Dat veranderde rap nadat een populaire presentator hardop zei dat onverlaten toch niks hadden aan de wetenschap wat zijn naam, gironummer en geboortedatum waren. Twee dagen later wist-ie beter: op basis van die ogenschijnlijk onschuldige gegevens had iemand kunnen inbreken op zijn bankrekening en een maandelijkse automatische overschrijving naar een goed doel aangemaakt.

Het kostte de presentator handenvol werk om de inbreuk ongedaan te maken. Ik geloof dat-ie zich heeft neergelegd bij de al gepleegde overmaking (hij kon het geld ook gerust missen), maar probeer als gewone burger maar eens een kennelijk door jezelf gedane overschrijving ongedaan te maken. Vanaf dat moment sloeg de sfeer in de Britse pers om. Data breaches – want zo heten die ongelukjes met persoonsgegevens – zijn nu groot nieuws in Engeland. Er struikelen tegenwoordig zelfs ministers over.

De Nederlandse pers is nog lang niet zover. Niet dat zulke dingen hier nooit gebeuren, in tegendeel. Alleen ziet niemand de nieuwswaarde er van in.

Vorige week ontdekte het business magazine Z24 dat ergens op een website een intern document van MeesPierson Bank te kijk stond. MeesPierson is een tak van Fortis die alleen klanten met meer dan een miljoen euro als klant aanneemt. Het document bevatte een overzicht van de rijkste klanten: naam, rekeningnummer, wat voor investeringen ze hebben gedaan, hun hypotheek en hun spaartegoeden. Het incident trok amper aandacht. Vier regeltjes in een krant, een kort stukje op een gespecialiseerde website, dat was al. En de ontdekkers waren nog wel journalisten – mensen met een goede ingang tot de pers. IJzersterk verhaal, goede contacten, en toch: minimale berichtgeving.

Soms denk ik: hadden we hier maar zo’n charitatieve hacker, iemand die op een humoristische manier aantoont dat onze tentoongespreide gezapigheid over zulke datalekkerij dom en kortzichtig is – want dat is het. Hoe kunnen we enerzijds accepteren dat onze maatschappij afhankelijk is geworden van gegevensstromen, dat ons hele hebben & houden, onze rechten & plichten, staan of vallen met wat er over ons is vastgelegd, en anderzijds tolereren dat overheden en bedrijven zo vaak laks zijn met diezelfde gegevens?

Verwant daaraan: hoe kan een overheid die wil dat we ons voor alles identificeren, brakke OV chipkaarten accepteren die zo makkelijk te vervalsen zijn als de Mifare chip? Hoe kan diezelfde overheid steunen op vingerafdrukken, die immers in twintig seconden te jatten en na te maken zijn?

Een samenleving die steunt op datastromen kan het zich niet permitteren slordig te zijn met diezelfde gegevens. Het wordt tijd dat we gaan nadenken over datahygiëne: hoe voorkomen we vervuiling en lekken van data, hoe beschermen we gegevens, hoe verifiëren we ze – en dus: hoe beschermen we onszelf.

» Zie ook mijn overzicht van Dutch Data breaches.

Hittegolf

De vlammen slaan me uit, de laatste maanden. Alsof er een huls over me wordt getrokken, een klamme plastic zak: eerst hoofd, dan hals, schouders en torso. De hitte straalt van me af, wie een handpalm naast me laat zweven kan het voelen: Spaink is een kachel. De overgang is terug.

Mijn eerste opvlieger was in december 2004, het vuur werd zo hoog opgestookt dat het zweet op mijn borstbeen parelde en ik in hartje winter mijn toevlucht zocht tot een stoel buiten in de koude tuin. Daarna moest ik nog een tijdje op de badkamervloer liggen om bij te komen en af te koelen. Toen mijn temperatuur weer normaal voelde, was ik zo moe dat ik maar mijn bed ben ingekropen.

Ik menstrueerde al een half jaar niet meer en daarna had ik nergens meer last van, zodat ik dacht dat ik gewoon de Mother of All Flushes had gehad en die hele overgang in een keer had afgehandeld. Daar was ik dan mooi efficiënt doorheen gerold. Geen last gehad van stemmingswisselingen, tenminste niet dat ik weet. Netjes gezwijnd, Spaink!

Ergens na de derde chemo voelde ik mijn temperatuur rap stijgen. Mijn nek werd warm – sinds ik kaal was weet ik dat warmte je lichaam vooral aan de onderkant van je schedel verlaat, daar waar ruggegraat en hersenpan elkaar raken; op diezelfde plek voel je de kou het meest, indien kaal – en moest ik het dekbed wegtrappen ter verkoeling. Waar was mijn thermometer? Bij koorts moest ik subiet het ziekenhuis bellen. Ik weet nooit waar ik het ding in moet stoppen. Vroeger werd zo’n ding in je achterwerk geprikt, maar daar ben ik geen fan van. In je mond of onder je oksel kan ook, maar daar meet je, zo herinner ik me, altijd een iets lagere temperatuur dan anaal. Maar hoeveel minder? Een hele graad? Een halve? In het ziekenhuis meten ze tegenwoordig in je oor. Valt een oor in de categorie anaal of in de categorie mond & oksel? En bij 38,5 graden koorts waar moet je het ziekenhuis bellen? Ik mat mijn mond. 37,8, da’s hoger dan gewoonlijk (ik zit altijd rond de 36 graden, ik ben een kouwe kikker met een lage bloeddruk) maar verder heel netjes. Na een paar minuten zakte de warmte weer en dat was dat.

De volgende dag kreeg ik weer zo’n plotselinge warmtevlaag. Ik mat en leerde dat het niks was. Een paar uur later, toen er opnieuw zo’n vlaag voorbij trok, realiseerde ik me wat er aan de hand is. Dit waren opvliegers. Van mijn soort chemo raak je in de overgang wist ik, zelfs als je pas dertig was. Maar die had ik toch al gehad? Bij de controle voor de vierde chemo vroeg ik het mijn oncoloog. Bleek dat het stoppen van de menstruatie niet noodzakelijkerwijs het einde van de overgang behelst. Kennelijk zat er nog een dot overgang die ik nu versneld doormaakte.

Halverwege de naweeën van de derde chemo namen de opvliegers af. Na de vierde chemo kwamen ze terug, en niet alleen heftiger maar ook vaker. Vier, vijf, zes, tien keer per dag brak het hete zweet me uit en werd mijn kale achterhoofd klam. Buiten was het hittegolf, binnen had ik opvliegers. Heet buiten, heet binnen.

Ze verdwenen, ik weet niet meer precies wanneer, ik geloof kort na aanvang van de herceptin. En nu zijn ze er weer. Het lijkt een teken dat mijn lichaam zijn oude ritme hervat en de chemicaliën langzaam wegtrekken. Herceptin heeft een halfwaardetijd van zes maanden, mijn laatste dosis was zeven maanden terug.

Zo beschouwd zijn die opvliegers een welkom cadeau. Een warm welkom!

8 juli 2008 / MC, 18 juli 2008

Oh fuck. Dag Vera…..

Zojuist las ik dat Vera Springveer – ook wel bekend als Charles LÃ¼cker – is overleden aan de gevolgen van aids.

Vera zag, hoorde en ontmoette ik voor het eerst bij de Gay Dating Show in Mazzo, toen ze in het gevolg van Hellun Zelluf verkeerde. Vera had een stem als een klok and an attittude to match. Een paar jaar geleden timmerde ze een hommage aan David Bowie in elkaar en ik wou er niet naartoe: dat kon immers alleen maar fout gaan. Op aandringen van Janssen ging ik alsnog en ik stond paf. Ze flikte het ‘m. Vals, venijnig, scherp, sluw, sexy, over the top, en buitengewoon overtuigend, absoluut absorberend: je dacht niet meer aan Bowie maar alleen nog maar aan Vera zelf. Ze was geweldig. And It ain’t easy.

Dag schat.

Godverdomme.

Overvallers online

De Amsterdamse politie heeft deze week besloten foto’s en videobeeden van overvallers online te zetten, in de hoop dat derden de boosdoeners wellicht herkennen en zo helpen de pakkans te vergroten. Het is een aanpak waar bekende nadelen aan zitten:

Veel foto’s zijn buitengewoon vaag en dus is de kans dat er op die manier iemand wordt herkend, erg klein;
Wanneer gezichten wel goed herkenbaar zijn, dreigt eigenrichting: boze burgers die iemand denken te herkennen en zelf dat varkentje wel even willen wassen.
First-time offenders staan met pech de rest van hun leven geboekstaafd: internet vergeet immers niet, of slecht.

Vandaag werd ik gewezen op een nadeel dat nieuw voor me was: guilt by association. Want ineens viel ik onder hetzelfde kopje, net zoals alle andere Paroolcolumnisten overigens:

(Met dank aan Reinder voor z’n opmerkzaamheid.)

Verdragsklem

De crux van vrijheid van meningsuiting is niet dat jij mag zeggen wat je wilt, maar dat je andermens recht ondersteunt opinies te ventileren die jijzelf abject vindt. Jezelf rechten toekennen is makkelijk; de werkelijke toets is of je andersdenkenden aan het woord wilt laten. Wat dat betreft heeft Wilders – zijn oproep tot een verbod op de Koran indachtig – bepaald een slecht trackrecord, ook al werpt hij zichzelf nog zo luidkeels op als eerzame underdog die als laatste het fort bewaakt.

Wilders mag van mij zeggen wat hij wil: dat recht is immers ten diepste verbonden met het mijne om te schrijven dat ik zijn brainfarts abject vind. (Wel had ik graag dat de kranten minder kwijlend achter hem aanliepen en niet elke gedachtekronkel van hem tot opiniestuk bombardeerden.)

Om diezelfde reden baart het me grote zorgen dat Jordanië een arrestatiebevel tegen de man heeft uitgevaardigd, een bevel dat krachtens internationale verdragen ook elders uitvoerbaar is. Wilders is Nederlands staatsburger en doet hier iets wat hier mag, en geen enkel ander land heeft dan nog het recht zich daar buiten haar eigen grondgebied tegenaan te bemoeien. Jordanië zou uitsluitend het recht mogen hebben Wilders de toegang tot het land te ontzeggen; de mogelijkheid hem door anderen te laten aanleveren, schendt niet alleen zijn rechten maar in dezelfde manoeuvre die van alle wereldburgers.

Een paar maanden geleden speelde eenzelfde kwestie, ik schreef erover in
januari. Een aantal Nederlanders hing een opsporing via Interpol en uitlevering aan India boven het hoofd. Een Indiaas bedrijf had in Bangalore een zaak aangespannen tegen Schone Kleren, een Nederlandse actiegroep die op haar website verslag deed van wangedrag van dat bedrijf. Volgens de Nederlandse wet deed Schone Kleren niets verkeerd, maar dat maakte Bangalore niet uit. Ook de directeuren van de provider die de website hostte (Antenna) en van de provider die hun internetverbinding leverde (XS4ALL) hing arrestatie boven het hoofd, wat helemaal bizar was: providers worden in Nederland niet aansprakelijk geacht voor wat hun klanten doen, behoudens een aantal nauwgezette uitzonderingen, waar dit geval bepaald niet aan voldeed.

India had godlof het Cybercrimeverdrag niet ondertekend. Was dat wel het geval geweest, dan was Nederland verplicht geweest de ondernemers uit te leveren. Maar andere landen, die andere verdragen met India hadden – bijvoorbeeld alle landen van het oude Gemenebest – hebben die verplichting wel. Kortom: de directeuren in kwestie hadden een reisverbod, op risico van uitlevering.

Het kostte XS4ALL en Antenna enorm veel moeite om Economische Zaken en Buitenlandse zaken voor hun probleem te interesseren. Zelfs toen eindelijk op hoogambtelijk niveau was doorgedrongen dat het absurd was dat Nederlandse ondernemers dreigden te worden uitgeleverd voor iets dat a) hier legaal was en b) iets dat zijzelf niet eens deden, weigerde Economische Zaken de kwestie te berde te brengen tijdens al geplande handelsmissie naar India, zodat Beatrix daar vriendelijk handenschuddned rondliep en elke lastige discussie meed. (Wat dat betreft krijgt Wilders helderder en oprechter steun van de regering. En nog klaagt-ie.)

Het gaat niet om Wilders versus Jordanië, meneer Wilders. De kwestie is dat onze eigen overheid in de loop der jaren allerlei verdragen heeft getekend die het mogelijk maken dat wij onze eigen onderdanen moeten uitleveren voor zaken die hier volkomen legaal zijn. In die zin doet het me deugd dat ditmaal een politicus in de klem zit: een koekje van eigen deeg.

Zo gaat-ie goed, zo gaat-ie beter

De vingerscan van Albert Heijn is nog geen twee weken na aankondiging gekraakt. Webwereld wijdt er vandaag een artikel aan:

De nieuwe Tip2Pay betaaldienst van Albert Heijn is nu al misbruikt. Een onderzoeker kopieerde eenvoudig een vingerafdruk en kon daarmee boodschappen afrekenen. (..) Ton van der Putte, oud medewerker van ATOS Origin die gespecialiseerd is in biometrie, maakte als demonstratie een kopie van een vingerafdruk. Met een rubberen kopie van een vingerafdruk kon hij vervolgens bij de kassa afrekenen. Zowel het systeem als de kassamedewerker hebben de vervalsing niet opgemerkt.

Het kopiëren van een vingerafdruk is relatief eenvoudig. Een vingerafdruk op een verpakking of een glas is daarvoor al voldoende. De hack komt niet als een verrassing, want diverse beveiligingsdeskundigen hebben bij de introductie gewaarschuwd dat de technologie onveilig is. Albert Heijn lijkt zich daar echter nog weinig van aan trekken. Afgelopen vrijdag verklaarde de keten nog op het Utrechtste radiostation Roulette FM dat het diverse maatregelen heeft genomen. “Met de beveiliging zit het wel goed”, stelde een woordvoerder. (..)

Van der Putte is geen onbekende op dit gebied. Sinds 1990 heeft hij al meerdere malen bewezen dat het werken met een vingeradruk alleen onvoldoende veilig is. Ook de Chaos Computer Club demonstreerde in 2004 al hoe een vingerafdruk eenvoudig te kopiëren is en schreef zelfs een handleiding. Ook werd een vergelijkbaar vingerafdruksysteem van een supermarkt vorig jaar november al onderuit gehaald. Dit jaar lukte het de club om de vingerafdruk van de Duitse minister van Binnenlandse Zaken Dr. Wolfgang Schäuble te kopiëren van een wijnglas en te publiceren. In reactie hierop is nu een debat ontstaan om af te zien van het gebruik van vingerafdrukken in paspoorten.

Maatschappelijke verantwoordelijkheid

Webwereld meldt vandaag dat staatssecretaris Huizinga van mening is dat de Radboud Universiteit, die de afgelopen maanden op verschillende manieren heeft aangetoond dat de OV-chipkaart buitengewoon onveilig is, voortaan haar mond moet houden over zulke zaken:

Staatssecretaris Tineke Huizinga reageerde dinsdag in een reactie op vragen van GroenLinks dat zij de universiteit op haar maatschappelijke verantwoordelijkheid wil wijzen. Ze is bang dat derden misbruik kunnen maken van de gepubliceerde gegevens. (..) Jacobs en Teepe (de betrokken onderzoekers, KS) hebben te horen gekregen dat vanwege de gevoeligheid is besloten tot “een strakkere regie”.

Wat nu? De NS mag een onveilige kaart ontwikkelen, de overheid mag op invoering ervan aandringen, maar wijzen op de onveiligheid van de gebruikte techniek zou moeten worden voorkomen onder het mom van ‘maatschappelijke verantwoordelijkheid’? Duh.

Betalen met je vingerafdruk

Vandaag op Nu.zakelijk:

Albert Heijn test betalen met vingerafdruk. De supermarkt laat klanten in een winkel in Breukelen zich eerst registeren met identiteitsbewijs en bankpas. De vingerafdruk kan ook gekoppeld worden aan de bonuskaart. Het systeem, Tip2Pay, is ontwikkelt in samenwerking met betalingsverwerker Equens. Albert Heijn wil de technologie gedurende zes maanden testen en onderzoeken wat de reacties van het publiek zijn. In Duitsland werkt supermarkt Edeka al ruim een jaar met een dergelijk systeem. De methode is daar al op zo’n honderd locaties ingevoerd.

Albert Heijn creëert op die manier een centrale vingerafdrukkendatabase – iets dat de overheid ook wil, maar niet mag. Me dunkt dat het College Bescherming Persoosngegevens zich daarover dient te buigen, temeer daar via de wet Mevis is geregeld dat elke politie-agent van alles mag opvragen bij bedrijven, zonder tussenkomst van de rechter-commissaris.

Vertaler gezocht gevonden

Zojuist kreeg ik een dringend verzoek of ik mijn twee artikelen over Landmark in het Engels kon vertalen. De stukken zijn niet lang en niet lastig, maar ik heb absoluut geen tijd. Is er hier misschien iemand die dat kan & wil doen? Het gaat om www.spaink.net/xl/199908.html en www.spaink.net/xl/199908-reply.htm. Er staat geen enkele vergoeding tegenover maar wel iemands eeuwige dank :)

Update 16 juni: inmiddels heeft iemand zich aangemeld, waarvoor veel dank!